网络空间攻击和防护策略运用研究

2020-12-30王雪莉蔡均平陈刚

网络安全技术与应用 2020年10期

◆王雪莉蔡均平陈刚

网络空间攻击和防护策略运用研究

◆王雪莉蔡均平陈刚

（国防科技大学信息通信学院湖北 430013）

网络空间是互联网终端移动化、无线电通信网络化和互联网与物联网一体化飞速发展的产物，是控制国家行政和社会各领域运行的神经中枢。网络空间安全已事关国家安危、经济命脉、兴衰强盛，维护网络空间安全成为信息时代的重要任务。本文在分析网络空间攻防特性、网络空间攻击策略的基础上，重点探讨了网络空间安全防护策略的具体运用。

网络空间安全；网络空间攻击；策略

网络系统在全球范围的爆炸性扩张，把世界连为一体，社会生产和生活方式不可离之须臾的高度依赖，表明网络空间已经成为继陆海空天之后人类活动的第五大空间，在社会生产生活中扮演着举足轻重、一动百摇的角色。随着网络空间技术的发展，黑客攻击技术和方法手段都在进步，因此，在未来网络空间安全防护工作中，必须灵活运用安全防护技术手段和策略，以应对黑客新型的网络攻击。

1 网络空间攻防基本特性

网络空间是人造领域的本质定位，使之产生出区别于陆海空天自然空间的鲜明特性，其攻防具有以下基本特性。

1.1 攻击空间为虚拟网络空间

网络的开放互联、信息共享、全球覆盖，使网络攻防空间地域极大延伸，突破了传统国界疆域限制，不受天气、时空等自然环境制约，难以进行时空区分。网络攻防必须在同一网络环境中实施，攻防双方同处一个网络空间，虚拟网络空间的特性将深刻影响网络空间安全防护策略的实施。

1.2 攻击手段呈现专业性和高技术性

网络空间攻防主要是技术的比拼和手段的较量，攻击手段通过计算机键盘和鼠标实施，攻击装备以“软件”形式呈现。人的因素及其具有的技术能力对攻击效果的影响剧增，一个顶尖黑客有可能战胜千军万马。因此，传统安全防护的“人海战术”不再适用，安全防护能力更多依赖技术“精兵”。

1.3 攻防双方具有不对称性

从网络攻防特点看，攻击方可选特定时机，如敏感、重要时期或防护方最易懈怠的时刻攻击，而防守方必须全时设防；攻击方可专挑薄弱环节攻击，“一点突破，控制全局”，而防守方必须全域设防，处处“加哨派岗”；攻击方可以是国家和组织行为，也可以是黑客的个人行动，代价较小，而防守方一定是组织行为、甚至是国家行为，成本高昂。攻防对抗的不对称性导致网络空间安全防护难度空前增加，必须加大投入、综合施策、整体防护。

1.4 攻击具有突发性及隐蔽性强

网络攻击从定下决心到发起实施几乎不需要人员部署、攻击软件储备等前期准备，难以发现进攻“征候”；攻击依靠“数据”传播，“攻击武器”接近光速，瞬间即至、瞬间即逝，使防护方几乎没有预警时间。攻击方全球分布、距离遥远、踪迹难寻；攻击武器既可在设备出厂时预设，也可在后续运行中植入，且掩盖特征、隐蔽设伏，以正常面目示人。要求防守方未雨绸缪、提前准备、主动防御，防微杜渐提高警觉、确保发现。

1.5 攻击目标多元危害严重

军队和国家同为攻击目标，一旦遭受攻击，可导致军队指挥失灵、协同失调、武器失控，国家金融失序、交通混乱、电力中断等。近年来，网络攻击已向意识形态领域快速拓展渗透，作用影响巨大，直接危及国家政权。因此，网络攻防之间的较量虽无战火硝烟、流血牺牲，但其“屈人之兵”的本质和“暴力”对抗的特征没有改变，是“文明的血腥”。要求防护方兼顾军地安全，考虑最坏情况，留有应急后手，力争将损失降到最低。

1.6 攻防对抗格局攻强守弱

网络空间的关键技术被美国垄断、核心资源被美国掌控、国际舆论被美国左右。我国互联网用户最多、规模最大、发展最快，但缺乏话语权和主导权，我关键核心信息技术和产品尚不能完全自主，既受制于人又先天缺乏安全基因，这种以弱对强的格局短期难以改变。要求我们始终瞄准美国这个“高手”谋划对策、提高标准、实施防御，同时加快自主创新步伐，掌握发展命脉。

2 网络空间攻击策略运用

了解黑客常用的网络空间进攻策略，对于提高网络空间安全防护能力是至关重要的。目前，黑客采取的进攻策略和手段主要包括“瘫痪”、“欺骗”、“降级”和“摧毁”四种。

2.1 瘫痪

利用我方接收路径和各种软硬件所存在的“后门”漏洞，通过欺骗手段将网络病毒和分布式拒绝服务工具等网络武器远程植入或无线注入到我方网络空间，对我计算机信息进行渗透、篡改、窃密和潜伏遥控，使我信息网络陷入间歇性或全面性瘫痪；或者通过大型IT产品厂商、特工等把藏有网络空间作战程序的硬件伪装成正常产品出售或安装到我方要害部门，战时遥控启动，伺机篡改我方网络管理权限、破解密码并盗出机密信息，或者长期潜伏，等待指令伺机发作。

2.2 欺骗

利用计算机成像、电子显示、语音识别与合成、传感、虚拟现实等技术制造各类假消息、假命令以及虚拟现实消息，并综合运用网络攻击手段将其发布和传播至我方网络空间，以期通过阻断我方信息流、对我实施心理战和信息欺骗，将假情报、假决策和假部署等各类虚拟信息传输给我方，诱我做出错误判断，使其采取利于己方的行动，进而达成影响和削弱我方控制能力的目的，取得战术上的有利态势。

2.3 降级

利用其掌控的全球大多数网络根服务器，监管全球网络域名和网址的先天优势，通过在根服务器上屏蔽国家域名，对我实施“断网”，让我国在网络上瞬间“消失”，进而降低我网络作战效能，或以此相威胁迫我方屈服，以达到小战或不战而屈人之兵的目的。

2.4 摧毁

包括软杀伤和硬摧毁两种作战方式：一是网络节点摧毁。综合运用网络空间战软、硬杀伤武器对我方网络中关键性服务器、路由器、中继设备、通信卫星等各类网络节点设备实施精确打击，从而瘫痪我方整个网络系统。二是全面摧毁。在打击军事目标、国家重要目标受挫或难度较大时，选择攻击我方防护较弱的民用设施网络，其中以公共服务性网络为主。对发达城市严重依赖的供水、供电、交通信号、通信等系统发起网络攻击，造成管线、网络瘫痪，制造社会混乱，从而达成分散我方网络防御力量、引起内部混乱等目的，为最终获得网络空间攻击创造有利条件。

3 网络空间安全策略运用

遵循网络空间安全客观规律，针对黑客采取的网络空间攻击策略和手段，结合我国信息网络发展和网络空间安全工作实际，可灵活运用以下三类安全策略。

3.1 主动预防策略

主要体现未雨绸缪、积极应对，提升主动防护和自身免疫能力。

（1）隔网筑墙、拒敌门外

考虑网络攻防双方必须同处一个网络空间的前提，可采取“隔网筑墙、拒敌门外”战法。保证军事信息网络，地方政府网络，交通、水利、电力等专用网络与互联网严格物理隔离，不留任何连接通路，让黑客进不来；在局域网不同安全等级网络之间，设置安全网关、防火墙等技术手段进行逻辑隔离，保证网上不同密级信息相对独立、受控交互。

（2）全网布哨、追踪溯源

为及时发现和定位网络攻击，做到早感知、早告警、早处置，可运用“全网布哨、追踪溯源”安全策略。建立网络监测预警体系，确保多层覆盖、上下贯通；在各个网络节点和末端广布“监视器”、“摄像头”，对网络流量、传输信息、用户行为进行有效监控，提前发现安全威胁，及时响应攻击行为；关联分析各种网络安全事件，追踪定位攻击源头和传播路径，为后续处置提供依据。

（3）以攻助防、以攻验防

为提高网络安全水平，检验网络安全防护能力，可采取“以攻助防、以攻验防”战法。通过加强对攻击技术的研究和运用，逆向分析我国网络和系统存在的后门漏洞和薄弱环节，评估风险危害程度，为弥补不足、完善体系提供依据；国家安全专业人员应组织经常性网络攻防演练，建立互联网和局域网网络攻防和评估的专业队伍，以背靠背方式真攻真防实评，实际检验防护水平，促进整体安全防护能力不断提升。

3.2 应对攻击策略

主要体现有的放矢、针锋相对，阻止黑客发起各类网络攻击。

（1）隐真示假、诱敌深入

利用“蜜网”、“蜜罐”技术，在互联网或局域网的某些网络主机中预置虚假“重要信息”，误导黑客按我方意图进行攻击渗透，消耗其攻击资源；通过在网络中故意留下“破绽”，诱敌上钩，强化监控，从而发现攻击源头，捕获攻击数据，了解攻击技术和攻击企图，为反制行动提供“目标”，达到保护我目标网络和关键信息的目的。

（2）分流减压、疏散配置

拒绝服务攻击的目的是造成网上信息“淤积阻塞”，进而致瘫目标网络。应对拒绝服务攻击可采用“分流减压、疏散配置”战法。通过预设网络流量临界值，限制服务器能够接受的最大访问请求，保证服务器在异常情况下仍能正常工作；增加服务器数量，或采用分布式计算、云计算等技术，把原本集中的服务“打散”安装在多台机器上，实现访问流量负载均衡，减轻单点承受的压力，避免网络停转、服务中断。

（3）“热点”聚焦、筛查封控

网络意识形态渗透和舆情操控依赖信息传播，可采取“‘热点’聚焦、筛查封控”策略进行防范。针对互联网上有害信息传播渗透和热点舆情发展动向，通过关键字检测分析、上下文语义关联等方法对信息传输内容进行筛查监控；运用封锁网址、域名劫持等技术对境外反动网站实施封堵，必要时进行毁瘫攻击；强化局域网终端管理，“堵源头”与“控末端”结合，在用户终端上对非法信息、非法操作进行实时监控，严防各类有害信息的访问传播。

3.3 后续补救策略

主要体现为“牺牲局部、应急保底”，是网络与信息系统已遭攻击情况下的应对之策。

（1）断臂自救、要点优先

孙子曰：“必有损，损阴以益阳”。意为形势危急时，要作出某些局部的牺牲以保全大局。借鉴此思想，可在必要时采用“断臂自救、要点优先”安全策略。网络攻防对抗易攻难防，如果黑客已成功入侵我网络，出现局部病毒感染、系统运行效率降低情况时，要迅速果断地切断“病源”和全网的连接通路，避免危害进一步蔓延扩散；同时，集中人力资源和技术手段，把守交通、水利、电力等核心网络设施和信息系统，确保关键部位安全可控，待入侵影响得以清除后，再逐步恢复初始正常状态。

（2）储备“后手”、保住底线

充分考虑黑客成功破坏我交通、水利、电力等核心网络，瘫痪关键系统等后果，预先建立国家信息安全应急处理指挥协调制度，制定信息安全应急响应预案，明确保障重点、责任分工、操作流程和处置权限；建设国家分布式容灾备份系统，研发配备灾难恢复技术装备，采取多种手段保障通信联络，具备网络路由快速重组和关键数据备份能力，确保国家重要信息系统和核心数据安全。